Trụ sở chính của công ty Ribbon Communications ở bang Texas, Mỹ. Ảnh Ribbon.

Cuộc tấn công kéo dài đến gần một năm

Theo báo cáo của công ty gửi Ủy ban Chứng khoán Hoa Kỳ (SEC), hoạt động xâm nhập có thể bắt đầu từ tháng 12/2024, khi hệ thống ghi nhận “truy cập ban đầu bởi tác nhân bên ngoài”.

Đến tháng 9/2025, đội ngũ kỹ thuật của Ribbon phát hiện “một số cá nhân không được phép, được cho là có liên hệ với một nhóm tin tặc có hậu thuẫn từ nhà nước, đã truy cập vào mạng CNTT của công ty”.

Sau khi khoanh vùng sự cố, ngày 23/10/2025, Ribbon công bố thông tin trong báo cáo 10-Q gửi SEC, cho biết đang phối hợp điều tra với các đối tác an ninh và đã thông báo cho các khách hàng bị ảnh hưởng.

Theo mô tả trong báo cáo, tin tặc đã truy cập vào một số tệp khách hàng cũ lưu trữ trên hai máy tính xách tay và ít nhất ba khách hàng nhỏ hơn của Ribbon bị ảnh hưởng. Công ty khẳng định hiện chưa có bằng chứng cho thấy “thông tin mang tính vật chất” (material information - dữ liệu có ảnh hưởng trọng yếu đến hoạt động doanh nghiệp) bị rò rỉ.

Rủi ro chuỗi cung ứng và ảnh hưởng đến đối tác

Danh sách khách hàng công cộng của Ribbon bao gồm các tập đoàn viễn thông lớn như BT, Verizon, CenturyLink, Deutsche Telekom, SoftBank, TalkTalk và Tata. Trang web của công ty cũng nêu bật các khách hàng chính phủ , bao gồm Bộ Quốc phòng Hoa Kỳ , Đại học Texas tại Austin, Thành phố Los Angeles và Thư viện Công cộng Los Angeles.

Giới chuyên môn cảnh báo rằng một vụ xâm nhập ở cấp nhà cung cấp có thể tạo hiệu ứng dây chuyền trong chuỗi cung ứng (supply-chain risk), bởi các nền tảng dịch vụ của Ribbon được tích hợp sâu vào hạ tầng truyền thông và dữ liệu của hàng trăm khách hàng trên toàn cầu.

Một số chuyên trang như Security Affairs và Cybernews nhận định chiến dịch này có dấu hiệu trùng khớp với những cuộc tấn công trước đây do các nhóm “liên kết nhà nước” tiến hành. Giả thuyết ban đầu đề cập tới “China-nexus”, tuy nhiên đến nay chưa có xác nhận chính thức từ công ty hoặc cơ quan điều tra độc lập.

Các chuyên gia cho rằng việc Ribbon chưa công bố chi tiết kỹ thuật (ví dụ kỹ thuật khai thác lỗ hổng, đánh cắp thông tin đăng nhập hay di chuyển ngang trong mạng nội bộ - lateral movement) là điều thường thấy trong các vụ tấn công có yếu tố nhà nước, khi doanh nghiệp ưu tiên khôi phục hoạt động và bảo mật trước khi chia sẻ thông tin sâu hơn.

Giới phân tích nhận định sự cố của Ribbon phản ánh hai vấn đề phổ biến trong lĩnh vực hạ tầng số: rủi ro từ một điểm thất bại đơn (single point of failure) và thời gian phát hiện kéo dài (detection latency). Việc kẻ tấn công ẩn náu gần 10 tháng mà không bị phát hiện cho thấy nhu cầu cấp thiết trong tăng cường giám sát hành vi bất thường (anomalous activity monitoring), phân đoạn mạng (network segmentation) và quy trình phản ứng sớm với sự cố.

Mặc dù Ribbon khẳng định vụ việc “không gây tác động vật chất”, giới chuyên môn cho rằng các cuộc tấn công có yếu tố nhà nước đang ngày càng mở rộng mục tiêu sang các nhà cung cấp hạ tầng viễn thông - những đơn vị nắm vai trò trung gian trong kết nối dữ liệu và thông tin toàn cầu.

Sự cố tấn công mạng của Ribbon cho thấy yêu cầu bức thiết phải công bố chi tiết hơn kết quả điều tra và minh bạch trong chia sẻ thông tin trong các tình huống tấn công mạng có yếu tố nhà nước nhằm giúp cộng đồng an ninh mạng quốc tế đánh giá đúng mức độ rủi ro và ngăn ngừa nguy cơ lan rộng ảnh hưởng.

An Lâm (Theo Cybernews, Security Affairs)